Sobald eine genügende Anzahl von Netzverhaltenstatistiken erfaßt werden, kann ein korrekter Radioapparat Identifikation nach den, mißtrauischen Fällen zu suchen beginnen, welche die Möglichkeit des böswilligen Angriffs anzeigen. Diese Fälle konnten als das Vorhandensein bestimmter Rahmenarten verkündet werden, Frequenz des Rahmengetriebes, Rahmenstruktur- und Folgenummerabweichungen, Verkehrsstromabweichungen und unerwarteter Frequenzgebrauch. Lassen Sie uns die Fälle kategorisieren eine Qualität, die drahtlose Identifikation in der LageSEIN sollten, eine Warnung für zu ermitteln und herauszugeben.
Zusätzliche Übermittler im Bereich.
Führungen benutzt nicht durch das geschützte WLAN im Gebrauch.
Deckenführungen.
|
|
Plötzliche funktionierende Führung Änderung durch eine oder mehr überwachte drahtlose Vorrichtungen.
Verlust der Signalqualität, hohes Niveau der Geräusche oder niedriges SNR.
Diese Fälle können Konnektivität- oder Netzwerkanschlußprobleme, strenges Netz misconfiguration, Gaunervorrichtung Plazierung, absichtliches Stauen anzeigen und überlagern 1 und überlagern 2 Mann-in-d-mittlere Angriffe.
Erhöhte Frequenz der normalerweise anwesenden Netzrahmen.
Felder der ungewöhnlichen Größe.
Unbekannte Rahmenarten.
Unvollständige, verdorbene oder mißgebildete Rahmen.
Fluten der deassociate/deauthenticate Rahmen.
Häufige Wiedervereinigungrahmen in den Netzen ohne ermöglichtes zu durchstreifen.
Felder aus Reihenfolge heraus.
Häufige Prüfspitze Anträge.
Felder mit ESSIDs unterschiedlich zu dem WLAN ESSID.
Felder mit der Sendung ESSID ("irgendwelche").
Felder mit häufig oder nach dem zufall änderndes ESSIDs.
Felder mit ESSIDs oder anderem fängt typisches für bestimmte Eindringenwerkzeuge auf.
Felder mit den MAC-Adressen eingeschlossen nicht im ACL.
Felder mit kopierten MAC-Adressen.
Felder mit häufig oder nach dem zufall ändernde MAC-Adressen.
Diese Fälle können Netz misconfigurations anzeigen und Konnektivitätprobleme, starke Rf Störung, wardrivers mit aktiven Abtastungwerkzeugen im Bereich, das MAC address, das auf dem WLAN spoofing sind, die freiwilligen Klienten, die an das WLAN angeschlossen werden, Versuche zu schätzen oder Rohling-Kraft ein geschlossenes ESSID, oder die vorgerückteren Angreifer, die Steuerung und Management zerfleischen, gestaltet, um die Mann-in-d-mittlere oder DOS Angriffe Schicht 2 auszustoßen.
Unvollständige, verdorbene oder mißgebildete Rahmen 802.1x.
Felder mit den EAP Arten eingeführt nicht durch das WLAN.
Mehrfache EAP Authentisierung Antrag- und Antwortseiten.
Mehrfache EAP Ausfallrahmen.
EAP Anfang und EAP Logoffrahmenfluten.
EAP Rahmen der anormalen Größe ("EAP-von-Tod").
Zersplitterte EAP Rahmen der kleinen Größe.
EAP Rahmen mit schlechter Authentisierung Länge.
EAP Rahmen mit schlechten Authentisierung Bescheinigungen.
EAP Rahmen mit mehrfachen Herausforderung MD5 Anträgen.
EAP Rahmen, die von den unerlaubten authenticators entstehen (Gaunerzugangspunkte).
Unfertige Authentisierung 802.1x/EAP Prozesse.
Diese Fälle können Versuche anzeigen, den Authentisierung 802.1x Entwurf, einschließlich das gescheite Plazierung und Zugang Vorrichtung des Gauners 802.1x Rohling-Zwingen oder die vorgerückten DOS Angriffe zu überbrücken, um die Authentisierung Einheiten zu sperren. Selbstverständlich können die mißgebildeten Rahmen 802.1x aus starker Rf Störung und anderer resultieren Probleme der Schicht 1.
Unencrypted drahtloses Verkehr Geschenk.
Verkehr verschlüsselt mit unbekannten WEP Schlüsseln.
Verkehr verschlüsselt mit WEP Schlüsseln der unterschiedlichen Längen.
Schwache IV Rahmen.
Felder mit wiederholtem IVs in einer Reihe.
Änderung des Nr. IV.
Rückfall zum ursprünglichen WEP von den sichereren Lösungen wie TKIP.
Verlassene WEP Schlüsselumdrehung.
Diese Fälle können strenge Netzsicherheit misconfigurations, unsichere Vermächtnisausrüstung im Gebrauch, die Benutzer, welche die Sicherheit Politik verletzen, drahtlose Plazierung Vorrichtung des Gauners, oder den Gebrauch von Verkehr anzeigen Werkzeuge (WEPwedgie, reinj) durch vorgerückte Cracker einspritzend.
Konnektivitätverlust.
Plötzliche Schwankung im Bandbreite Verbrauch.
Plötzliche Abnahme am Netzdurchsatz.
Plötzlich verzögert Zunahme in einem Punkt, um Verbindung zu zeigen.
Erhöhtes Paketzerteilungniveau.
Häufig überträgt nochmal.
Diese Fälle sollten eine zukünftige Untersuchung auffordern, die genauen Ursachen des Problems zu finden ermittelt. Eine intelligente Identifikation Folgerung Maschine sollte in der LageSEIN, diese Probleme mit den unterschiedlichen Kategorien von Fällen zu verbinden und die Untersuchung Probleme so teilweise automatisieren.
Angriffe auf den höheren Vermittlungsschichten, welche die "traditionellen" Identifikation auslösen.
Freiwilliger Zugangspunkt-Managementverkehr.
Ständig kopierte oder wiederholte Datenpakete.
Datenpakete mit verdorbener Sicherungsschicht checksums/MIC.
Flut der mehrfachen gleichzeitigen Netzverbindung Versuche.
Diese Fälle können erfolgreiches anzeigen, oder erfolglose Crackerangriffe, ein Wirt mit misconfigured Sicherheit Einstellungen, Versuche, die entfalteten Zugangspunkte zugänglich zu machen und zu rekonfigurieren, den Gebrauch von Verkehr Werkzeuge, die vorgerückten DOS Angriffe gegen Wirte 802.11i-enabled einspritzend oder die Versuche, die AP Puffer mit vielen Anschlüssen von der verdrahteten oder drahtlosen Seite zu überwältigen. Wieder können alle mögliche Fälle vom Rahmen oder Paketkorruption Bitübertragungsschichtproblemen, wie Störung und niedriger Signalstärke zugeschrieben werden.
Jetzt können Sie viele der klatschsüchtigen Angriff Zeichen von der vorhergehenden Fallliste leicht erkennen. Z.B. sind Rahmen mit häufig geänderten MAC-Adressen und ESSIDs eine gute Anzeige über jemand, das ein FakeAP verwendet. Wechselweise, gibt es eine Weise Rohling-Kraft geschlossenes ESSIDs mit zwei Klient PCMCIA Karten und Wellenreiter. Wir beschrieben es nicht im Angriff Abschnitt, weil wir ihn nie versucht haben, und essid_jack oder dinject zu verwenden ist weites leistungsfähigeres und speichert Betriebsmittel. Solch ein Rohling-zwingender Angriff erzeugt Rahmen mit dem Ändern von von ESSIDs und VON VON MAC-Adressen (Weise Wellenreiters, den Verkäufer und die Identität Karte des Angreifers undeutlich zu machen). Häufige Prüfspitze Anträge konnten jemand anzeigen, das Netstumbler oder Ministumbler verwendet, und die Wirte, die plötzlich ihre Betrieb Führung ändern, können aus einem möglichen Mann-in-d-mittleren Angriff kennzeichnen.
Viele der umrissenen Fälle können ein Resultat des Benutzer misbehavior anstatt ein geplanter böswilliger Angriff sein. Benutzer können freiwillige drahtlose Vorrichtungen anschließen oder das Störung-Verursachen der Geräte (Bluetooth, drahtlose Kameras, drahtlose Telefone) verwenden. Sie können an das AP, ohne WEP/TKIP zu ermöglichen anschließen wenn das AP, ermöglichen es (ein grosser Fehler auf der Seite des Verwalters) oder miss/avoid Mikroprogrammaufstellung verbessert sie (", wenn es funktioniert, es nicht" reparierend Sie) und so bildet Ihre Sicherheit 802.11i-based Entwicklungbemühungen unbrauchbar. Jeder möglicher System oder Netzverwalter kann, unruly und abscheulich einige Benutzer sein können.
Online: 761 users browsing the articles directory
|
|